Der Datenschutzbeauftragte informiert
 

Erneut DSGVO-Bußgeld von knapp 10 Millionen Euro verhängt

 

Nachdem der Konzern „Deutsche Wohnen“ durch die Berliner Datenschutzaufsichtsbehörde (BlnBDI) bereits ein Bußgeld von 14,5 Mio. Euro erhalten und Schlagzeilen gemacht hat, folgt nun die 1&1 Telecom GmbH, gegen die ebenfalls ein Millionenbußgeld in Höhe von 9,55 Mio. Euro erlassen wurde.

Unzureichende technische und organisatorische Maßnahmen

Das Bußgeld wurde aufgrund von unzureichenden technischen und organisatorischen Maßnahmen (TOMs) verhängt. Folgendes ist passiert: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hatte Kenntnis davon erlangt, dass Anrufer bei der Kundenbetreuung des Unternehmens allein durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten konnten. In diesem Authentifizierungsverfahren sieht der BfDI einen Verstoß gegen Artikel 32 DSGVO, nach dem das Unternehmen verpflichtet ist, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen.

Der BfDI sah die Verhängung einer Geldbuße als geboten, da der Verstoß nicht nur auf einen geringen Teil der Kunden begrenzt war, sondern ein Risiko für den gesamten Kundenbestand darstellte.

1&1 spricht von einer Zwei-Faktor-Authentifizierung und äußert sich

Der Fall ereignete sich bereits 2018. Konkret ging es um die telefonische Abfrage der Handynummer eines ehemaligen Lebenspartners. Die zuständige Mitarbeiterin erfüllte dabei alle Anforderungen der damals bei 1&1 gültigen Sicherheitsrichtlinien. Zu diesem Zeitpunkt war eine Zwei-Faktor-Authentifizierung üblich. Einen einheitlichen Marktstandard für höhere Sicherheitsanforderungen gab es nicht.

Höhe des Bußgeldes

Wenn man berücksichtigt, dass 1&1 ein Teil von United Internet ist, so wäre, nach Art. 83 Abs. 4 lit. a DSGVO, ausgehend vom Jahresumsatz 2017 in Höhe von 4,206 Mrd. auch eine Geldbuße von bis zu 84,12 Mio. möglich gewesen.

Bei der Festsetzung der Höhe der Geldbuße blieb der BfDI aufgrund des während des gesamten Verfahrens kooperativen Verhaltens von 1&1 Telecom GmbH im unteren Bereich des möglichen Bußgeldrahmens. 1&1 wird dennoch gegen das Bußgeld vorgehen.

Dr. Julia Zirfas, die Datenschutzbeauftragte von 1&1, sieht einen Konflikt mit dem Grundgesetz und äußert sich wie folgt: „Das Bußgeld ist absolut unverhältnismäßig. … In der Datenschutz-Grundverordnung (DSGVO) ist der Umsatz allerdings nicht als Kriterium für die Bemessung der Bußgeldhöhe vorgesehen. Darüber hinaus verstößt die neue Bußgeldlogik gegen das Grundgesetz, insbesondere die Grundsätze der Gleichbehandlung und der Verhältnismäßigkeit.“

1&1 entwickelt wegweisendes Verfahren für andere Unternehmen, die Telefonbetreuung anbieten

In Absprache mit dem BfDI entwickelt 1&1 die Sicherheitsanforderung weiter, so wird jeder Kunde einen Service-PIN bekommen. So soll sichergestellt werden, dass nur der Kunde selbst und keine unbefugten Dritten telefonisch an Daten anderer kommen.

Telekommunikationsdienstleister müssen sich warm anziehen

Der BfDI untersucht aufgrund von eigenen Erkenntnissen, Hinweisen und auch Kundenbeschwerden derzeit die Authentifizierungsprozesse weiterer Anbieter von Telekommunikationsdienstleistungen. Der Bundesbeauftragte Ulrich Kelber sagte: „Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden. Die europäische Datenschutzgrundverordnung (DSGVO) gibt uns die Möglichkeit, die unzureichende Sicherung von personenbezogenen Daten entscheidend zu ahnden. Wir wenden diese Befugnisse unter Berücksichtigung der gebotenen Angemessenheit an.“
 

 

_____________________________________________________________

 


Sie haben Fragen zur DSGVO oder Beratungsbedarf? Wir helfen gerne!

Ihr TÜViT-Datenschutzteam
Telefon: +49 201 8999 899
E-Mail: privacyGUARD@tuvit.de
 

 
 

Impressum

 
 

TÜV Informationstechnik GmbH
TÜV NORD GROUP

Langemarckstraße 20
45141 Essen

Tel.: 0201 8999-9

 

TÜV NORD IT Secure Communications GmbH & Co. KG

Hohenzollerndamm 184
10713 Berlin

Tel.: 030 2007700-0

 

Amtsgericht Essen HRB 11687
UST-ID.: DE176132277
Steuernummer: 111/57062251

 

Amtsgericht Berlin-Charlottenburg HRA 55505 B
USt-ID.: DE 316878351
Steuernummer: 29/122/62232

 

info@tuvit.de
www.tuvit.de

 

Wenn Sie zukünftig keine Mailings mehr erhalten möchten, klicken Sie bitte hier.